چهار بهره‌جو برای استخراج Monero

کمیته رکن چهارم – محققان شرکت F5 از فعالیت کارزاری با عنوان Zealot خبر داده‌اند که مهاجمان آن با بکارگیری بهره‌جوها (Exploit) و روش‌های پیشرفته اقدام به آلوده نمودن سرورهای با سیستم عامل Windows و Linux می‌کنند.

در حال حاضر بدافزار مورد استفاده این گروه، از طریق دستگاه آلوده شده پول دیجیتالی Monero را استخراج می‌کند.

این مهاجمان با پویش اینترنت دستگاه‌های حاوی هر یک از آسیب‌پذیری‌های Apache Struts – با شناسه CVE-2017-5638 – و DotNetNuke ASP.NET CMS – با شناسه CVE-2017-9822 – را کشف کرده و سپس با بکارگیری ابزارهای مجهز به بهره‌جوی این آسیب‌پذیری‌ها برای رخنه به دستگاه‌های شناسایی شده – صرف نظر از Windows یا Linux بودن سیستم عامل آنها – تلاش می‌کنند.

Apache Struts همان ضعف امنیتی است که حدود یک سال قبل برای رخته به Equifax – غول مالی آمریکا – مورد استفاده هکرها قرار گرفته بود. در بهار امسال هم گروهی هکر با بهره‌جویی از همین آسیب‌پذیری اقدام به نصب باج‌افزار بر روی سرورهای Struts کردند و توانستند تا از این طریق بیش از ۱۰۰ هزار دلار اخاذی کنند.

مهاجمان Zealot پس آلوده نمودن دستگاه متصل به اینترنت، از دو بهره‌جوی دیگر معروف به EternalBlue و EternalSynergy برای آلوده نمودن سایر دستگاه‌های شبکه استفاده می‌کنند.

هر دوی این بهره‌جوها در اوایل امسال و در جریان انتشار فایل‌های سرقت شده از یک گروه نفوذگر حرفه‌ای با نام Equation – که وابستگی اثبات شده‌ای به سازمان امنیت ملی دولت آمریکا دارد – توسط گروه Shadow Brokers در اختیار عموم قرار گرفته بودند.

مهاجمان Zealot در آخرین مرحله از آلوده‌سازی دستگاه‌های Windows با استفاده از پروسه مجاز PowerShell اقدام به نصب بدافزاری بر روی دستگاه قربانی می کنند. وظیفه این بدافزار استخراج پول دیجیتالی Monero است.

در سیستم عامل Linux نیز از اسکریپت‌های Python برای نصب بدافزاری مشابه استفاده می‌شود.

در پول‌های دیجیتال، فرآیندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلی‌ترین وظیفه آن تایید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرآیند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه واحد دیجیتال – در اینجا Monero – نیز در قبال تلاشی که برای این پردازش‌ها انجام می‌شود به استخراج‌کنندگان پاداشی اختصاص می‌دهد.

با توجه به نیاز به توان پردازش بالا، انجام استخراج می‌تواند یک سرمایه‌گذاری هزینه‌بر برای استخراج‌کننده باشد. اما برنامه های ناخواسته موسوم به Cryptocurrency Miner با بهره‌گیری از توان پردازشی دستگاه‌های آلوده به خود از آنها به‌منظور سودرسانی به نویسنده یا نویسندگان برنامه سوءاستفاده می‌کنند.

بر اساس تحقیقات انجام شده توسط محققان F5، مهاجمان این کارزار از این طریق حداقل ۸۵۰۰ دلار به جیب زده‌اند.

هر چند که مهاجمان قادرند در هر زمان براحتی این بدافزار را با بدافزارهایی به مراتب مخرب تر جایگزین کنند.

همانطور که اشاره شد در این کارزار، آلوده‌سازی از طریق ابزارهای بهره‌جو و سوءاستفاده از آسیب‌پذیری‌های امنیتی صورت می‌پذیرد. اطمینان از نصب بودن تمامی اصلاحیه‌های امنیتی سیستم عامل و نرم‌افزارهای نصب شده بر روی دستگاه‌ها بهمراه استفاده از ابزارهای دیواره آتش مجهز به نفوذیاب بخصوص برای حفاظت از سرورهای متصل به اینترنت نقشی بسیار مؤثر برای ایمن ماندن از گزند این نوع حملات دارند.

منبع : شبکه گستر